Kelola kata sandi untuk pengguna IAM - AWS Identity and Access Management

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kelola kata sandi untuk pengguna IAM

IAMpengguna yang menggunakan AWS Management Console untuk bekerja dengan AWS sumber daya harus memiliki kata sandi untuk masuk. Anda dapat membuat, mengubah, atau menghapus kata sandi untuk IAM pengguna di AWS akun Anda.

Setelah Anda menetapkan kata sandi untuk pengguna, pengguna dapat masuk ke AWS Management Console menggunakan login URL untuk akun Anda, yang terlihat seperti ini:

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

Untuk informasi selengkapnya tentang cara IAM pengguna masuk AWS Management Console, lihat Cara masuk AWS di Panduan AWS Sign-In Pengguna.

Sekalipun pengguna Anda memiliki kata sandi, mereka masih memerlukan izin untuk mengakses sumber daya AWS Anda. Secara default, pengguna tidak memiliki izin. Untuk memberi pengguna Anda izin yang mereka butuhkan, Anda menetapkan kebijakan untuk mereka atau ke grup yang mereka miliki. Untuk informasi tentang membuat pengguna dan grup, lihat IAMIdentitas . Untuk informasi tentang menggunakan kebijakan untuk mengatur izin, lihat Mengubah izin untuk pengguna IAM.

Anda dapat memberikan izin kepada pengguna untuk mengubah kata sandi mereka sendiri. Untuk informasi selengkapnya, lihat Izinkan IAM pengguna untuk mengubah kata sandi mereka sendiri. Untuk informasi tentang cara pengguna mengakses halaman login akun Anda, lihat Cara masuk AWS di Panduan AWS Sign-In Pengguna.

Membuat, mengubah, atau menghapus kata sandi IAM pengguna (konsol)

Anda dapat menggunakan AWS Management Console untuk mengelola kata sandi untuk IAM pengguna Anda.

Ketika pengguna meninggalkan organisasi Anda atau tidak lagi membutuhkan AWS akses, penting untuk menemukan kredensi yang mereka gunakan dan memastikan bahwa mereka tidak lagi beroperasi. Idealnya, Anda menghapus kredensial jika tidak lagi diperlukan. Anda dapat selalu membuat ulang catatan di kemudian hari jika perlu. Setidaknya, Anda harus mengubah kredensial sehingga pengguna sebelumnya tidak lagi memiliki akses.

Untuk menambahkan kata sandi untuk IAM pengguna (konsol)
  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Pengguna.

  3. Pilih nama pengguna yang kata sandinya ingin Anda buat.

  4. Pilih tab Security credentials, lalu di bawah Console sign-in, pilih Aktifkan akses konsol.

  5. Di Aktifkan akses konsol, untuk kata sandi Konsol, pilih apakah akan IAM membuat kata sandi atau membuat kata sandi khusus:

    • Untuk IAM membuat kata sandi, pilih Kata sandi yang dibuat otomatis.

    • Untuk membuat kata sandi kustom, pilih Kata sandi kustom, dan ketik kata sandi.

      catatan

      Kata sandi yang Anda buat harus memenuhi kebijakan kata sandi akun.

  6. Untuk meminta pengguna membuat kata sandi baru saat masuk, pilih Pengguna harus membuat kata sandi baru saat masuk berikutnya. Kemudian pilih Aktifkan akses konsol.

    penting

    Jika Anda memilih Pengguna harus membuat kata sandi baru pada opsi masuk berikutnya, pastikan bahwa pengguna memiliki izin untuk mengubah kata sandinya. Untuk informasi selengkapnya, lihat Izinkan IAM pengguna untuk mengubah kata sandi mereka sendiri.

  7. Untuk melihat kata sandi sehingga Anda dapat membagikannya dengan pengguna, pilih Tampilkan di kotak dialog Kata sandi konsol.

    penting

    Untuk alasan keamanan, Anda tidak dapat mengakses kata sandi setelah menyelesaikan langkah ini, tetapi Anda dapat membuat kata sandi baru kapan saja.

Untuk mengubah kata sandi untuk IAM pengguna (konsol)
  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Pengguna.

  3. Pilih nama pengguna yang kata sandinya ingin Anda ubah.

  4. Pilih tab Security credentials, lalu di bawah Console sign-in, pilih Kelola akses konsol.

  5. Di Kelola akses konsol, pilih Setel ulang kata sandi jika belum dipilih. Jika akses konsol dinonaktifkan, maka tidak diperlukan kata sandi.

  6. Untuk akses Konsol, pilih apakah akan IAM membuat kata sandi atau membuat kata sandi khusus:

    • Untuk IAM membuat kata sandi, pilih Kata sandi yang dibuat otomatis.

    • Untuk membuat kata sandi kustom, pilih Kata sandi kustom, dan ketik kata sandi.

      catatan

      Kata sandi yang Anda buat harus memenuhi kebijakan kata sandi, jika saat ini diatur.

  7. Untuk meminta pengguna membuat kata sandi baru saat masuk, pilih Pengguna harus membuat kata sandi baru saat masuk berikutnya.

    penting

    Jika Anda memilih Pengguna harus membuat kata sandi baru pada opsi masuk berikutnya, pastikan bahwa pengguna memiliki izin untuk mengubah kata sandinya. Untuk informasi selengkapnya, lihat Izinkan IAM pengguna untuk mengubah kata sandi mereka sendiri.

  8. Untuk mencabut sesi konsol aktif pengguna, pilih Cabut sesi konsol aktif. Lalu, pilih Terapkan.

    Saat Anda mencabut sesi konsol aktif untuk pengguna, IAM lampirkan kebijakan sebaris baru ke pengguna yang menolak semua izin untuk semua tindakan. Ini mencakup kondisi yang menerapkan pembatasan hanya jika sesi dibuat sebelum titik waktu ketika Anda mencabut izin, serta sekitar 30 detik ke masa depan. Jika pengguna membuat sesi baru setelah Anda mencabut izin, maka kebijakan penolakan tidak berlaku untuk pengguna tersebut. Jika pengguna mencabut sesi konsol aktif mereka sendiri menggunakan metode ini, mereka akan segera keluar dari AWS Management Console.

    penting

    Agar berhasil mencabut sesi konsol aktif untuk pengguna, Anda harus memiliki PutUserPolicy izin untuk pengguna. Ini memungkinkan Anda untuk melampirkan kebijakan AWSRevokeOlderSessions inline kepada pengguna.

  9. Untuk melihat kata sandi sehingga Anda dapat membagikannya dengan pengguna, pilih Tampilkan di kotak dialog Kata sandi konsol.

    penting

    Untuk alasan keamanan, Anda tidak dapat mengakses kata sandi setelah menyelesaikan langkah ini, tetapi Anda dapat membuat kata sandi baru kapan saja.

Untuk menghapus (menonaktifkan) kata sandi IAM pengguna (konsol)
  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Pengguna.

  3. Pilih nama pengguna yang kata sandinya ingin Anda hapus.

  4. Pilih tab Security credentials, lalu di bawah Console sign-in, pilih Kelola akses konsol.

  5. Di Kelola akses konsol, pilih Nonaktifkan akses konsol jika belum dipilih. Jika akses konsol dinonaktifkan, maka tidak diperlukan kata sandi.

  6. Untuk mencabut sesi konsol aktif pengguna, pilih Cabut sesi konsol aktif. Kemudian pilih Nonaktifkan akses.

    penting

    Agar berhasil mencabut sesi konsol aktif untuk pengguna, Anda harus memiliki PutUserPolicy izin untuk pengguna. Ini memungkinkan Anda untuk melampirkan kebijakan AWSRevokeOlderSessions inline kepada pengguna.

    Saat Anda mencabut sesi konsol aktif untuk pengguna, IAM menyematkan kebijakan sebaris baru di IAM pengguna yang menolak semua izin untuk semua tindakan. Ini mencakup kondisi yang menerapkan pembatasan hanya jika sesi dibuat sebelum titik waktu ketika Anda mencabut izin, serta sekitar 30 detik ke masa depan. Jika pengguna membuat sesi baru setelah Anda mencabut izin, maka kebijakan penolakan tidak berlaku untuk pengguna tersebut. Jika pengguna mencabut sesi konsol aktif mereka sendiri menggunakan metode ini, mereka akan segera keluar dari AWS Management Console.

penting

Anda dapat mencegah IAM pengguna mengakses AWS Management Console dengan menghapus kata sandi mereka. Ini mencegah mereka masuk ke AWS Management Console menggunakan kredensi masuk mereka. Hal ini tidak mengubah izin mereka atau mencegah mereka mengakses konsol menggunakan peran yang diasumsikan. Jika pengguna memiliki kunci akses aktif, mereka terus berfungsi dan mengizinkan akses melalui AWS CLI, Alat untuk Windows PowerShell AWS API, atau AWS Console Mobile Application.

Membuat, mengubah, atau menghapus kata sandi IAM pengguna ()AWS CLI

Anda dapat menggunakan AWS CLI API untuk mengelola kata sandi untuk IAM pengguna Anda.

Untuk membuat kata sandi (AWS CLI)
  1. (Opsional) Untuk menentukan apakah pengguna memiliki kata sandi, jalankan perintah ini: aws iam get-login-profile

  2. Untuk membuat kata sandi, jalankan perintah ini: aws iam create-login-profile

Untuk mengubah kata sandi pengguna (AWS CLI)
  1. (Opsional) Untuk menentukan apakah pengguna memiliki kata sandi, jalankan perintah ini: aws iam get-login-profile

  2. Untuk mengubah kata sandi, jalankan perintah ini: aws iam update-login-profile

Untuk menghapus (menonaktifkan) kata sandi pengguna (AWS CLI)
  1. (Opsional) Untuk menentukan apakah pengguna memiliki kata sandi, jalankan perintah ini: aws iam get-login-profile

  2. (Opsional) Untuk menentukan kapan kata sandi terakhir digunakan, jalankan perintah ini: aws iam get-user

  3. Untuk menghapus kata sandi, jalankan perintah ini: aws iam delete-login-profile

penting

Ketika Anda menghapus kata sandi pengguna, pengguna tidak bisa lagi masuk ke AWS Management Console. Jika pengguna memiliki kunci akses aktif, mereka terus berfungsi dan mengizinkan akses melalui AWS CLI, Alat untuk Windows PowerShell, atau panggilan AWS API fungsi. Saat Anda menggunakan AWS CLI, Alat untuk Windows PowerShell, atau AWS API untuk menghapus pengguna dari Anda Akun AWS, Anda harus terlebih dahulu menghapus kata sandi menggunakan operasi ini. Untuk informasi selengkapnya, lihat Menghapus IAM user ()AWS CLI.

Untuk mencabut sesi konsol aktif pengguna sebelum waktu yang ditentukan ()AWS CLI
  1. Untuk menyematkan kebijakan sebaris yang mencabut sesi konsol aktif IAM pengguna sebelum waktu yang ditentukan, gunakan kebijakan sebaris berikut dan jalankan perintah ini: aws iam put-user-policy

    Kebijakan inline ini menolak semua izin dan menyertakan kunci kondisi. aws: TokenIssueTime Ini mencabut sesi konsol aktif pengguna sebelum waktu yang ditentukan dalam Condition elemen kebijakan sebaris. Ganti nilai kunci aws:TokenIssueTime kondisi dengan nilai Anda sendiri.

    { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "2014-05-07T23:47:00Z" } } } }
  2. (Opsional) Untuk mencantumkan nama kebijakan sebaris yang disematkan di IAM pengguna, jalankan perintah ini: aws iam list-user-policies

  3. (Opsional) Untuk melihat kebijakan inline bernama yang disematkan di IAM pengguna, jalankan perintah ini: aws iam get-user-policy

Membuat, mengubah, atau menghapus kata sandi IAM pengguna ()AWS API

Anda dapat menggunakan AWS API untuk mengelola kata sandi untuk IAM pengguna Anda.

Untuk membuat kata sandi (AWS API)
  1. (Opsional) Untuk menentukan apakah pengguna memiliki kata sandi, hubungi operasi ini: GetLoginProfile

  2. Untuk membuat kata sandi, hubungi operasi ini: CreateLoginProfile

Untuk mengubah kata sandi pengguna (AWS API)
  1. (Opsional) Untuk menentukan apakah pengguna memiliki kata sandi, hubungi operasi ini: GetLoginProfile

  2. Untuk mengubah kata sandi, hubungi operasi ini: UpdateLoginProfile

Untuk menghapus (menonaktifkan) kata sandi pengguna (AWS API)
  1. (Opsional) Untuk menentukan apakah pengguna memiliki kata sandi, jalankan perintah ini: GetLoginProfile

  2. (Opsional) Untuk menentukan kapan kata sandi terakhir digunakan, jalankan perintah ini: GetUser

  3. Untuk menghapus kata sandi, jalankan perintah ini: DeleteLoginProfile

penting

Ketika Anda menghapus kata sandi pengguna, pengguna tidak bisa lagi masuk ke AWS Management Console. Jika pengguna memiliki kunci akses aktif, mereka terus berfungsi dan mengizinkan akses melalui AWS CLI, Alat untuk Windows PowerShell, atau panggilan AWS API fungsi. Saat Anda menggunakan AWS CLI, Alat untuk Windows PowerShell, atau AWS API untuk menghapus pengguna dari Anda Akun AWS, Anda harus terlebih dahulu menghapus kata sandi menggunakan operasi ini. Untuk informasi selengkapnya, lihat Menghapus IAM user ()AWS CLI.

Untuk mencabut sesi konsol aktif pengguna sebelum waktu yang ditentukan ()AWS API
  1. Untuk menyematkan kebijakan sebaris yang mencabut sesi konsol aktif IAM pengguna sebelum waktu yang ditentukan, gunakan kebijakan sebaris berikut dan jalankan perintah ini: PutUserPolicy

    Kebijakan inline ini menolak semua izin dan menyertakan kunci kondisi. aws: TokenIssueTime Ini mencabut sesi konsol aktif pengguna sebelum waktu yang ditentukan dalam Condition elemen kebijakan sebaris. Ganti nilai kunci aws:TokenIssueTime kondisi dengan nilai Anda sendiri.

    { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "2014-05-07T23:47:00Z" } } } }
  2. (Opsional) Untuk mencantumkan nama kebijakan sebaris yang disematkan di IAM pengguna, jalankan perintah ini: ListUserPolicies

  3. (Opsional) Untuk melihat kebijakan inline bernama yang disematkan di IAM pengguna, jalankan perintah ini: GetUserPolicy